Última actualización: 31 de marzo de 2026 · Versión 2.0
Nombre
Magic Funnel
Plataforma
magicfunnel.app
Contacto Legal (DPO)
legal@magicfunnel.appContacto Soporte
soporte@magicfunnel.appMagic Funnel trata las siguientes categorías de datos personales, dependiendo del rol del titular:
Usuarios / Miembros de la plataforma
Leads / Prospectos generados por los miembros
⚠️ Datos especialmente protegidos
Magic Funnel NO recopila datos sensibles como origen racial, ideología política, creencias religiosas, salud, vida sexual ni datos biométricos.
| Finalidad | Base Legal (Art. 6 RGPD) | Normativa local |
|---|---|---|
| Prestación del servicio contratado | Ejecución de contrato (6.1.b) | Art. 7 LGPD / Art. 6 Ley 1581 |
| Gestión de pagos y facturación | Ejecución de contrato (6.1.b) + Obligación legal (6.1.c) | Obligación fiscal local |
| Análisis de uso y mejora del servicio | Interés legítimo (6.1.f) | Art. 7 LGPD |
| Comunicaciones de marketing (opt-in) | Consentimiento (6.1.a) | Art. 7 LGPD / Art. 8 Ley 1581 |
| Prevención de fraude y seguridad | Interés legítimo (6.1.f) | Art. 7 LGPD |
| Atribución de leads a distribuidores | Ejecución de contrato (6.1.b) | Art. 7 LGPD |
| Cumplimiento de obligaciones legales | Obligación legal (6.1.c) | Normativas fiscales locales |
Algunos de nuestros proveedores de servicio se encuentran fuera del Espacio Económico Europeo (EEE). En estos casos, garantizamos la protección de tus datos mediante los mecanismos legales establecidos:
Cláusulas Contractuales Estándar (SCCs)
Adoptadas por la Comisión Europea para transferencias a EE.UU., cubren Supabase, Vercel, Stripe, Cloudflare, OpenAI y Resend.
Marco de Privacidad UE-EE.UU. (DPF)
Para proveedores certificados bajo el EU-U.S. Data Privacy Framework vigente desde julio de 2023.
Adequacy Decision
Para países que la Comisión Europea ha declarado con nivel adecuado de protección.
Hemos suscrito Acuerdos de Tratamiento de Datos (DPA) con todos los proveedores que tratan datos personales en nuestro nombre:
| Proveedor | Función | País | Mecanismo |
|---|---|---|---|
| Supabase | Base de datos + autenticación | EE.UU. | SCCs |
| Vercel | Hosting + CDN + analítica | EE.UU. | SCCs + DPF |
| Stripe | Procesamiento de pagos | EE.UU. | SCCs + DPF |
| Cloudflare | CDN, DNS y seguridad | EE.UU. | SCCs + DPF |
| OpenAI | IA: procesamiento de texto | EE.UU. | SCCs |
| Resend | Envío de emails transaccionales | EE.UU. | SCCs |
Cifrado en tránsito
TLS 1.3 en todas las comunicaciones HTTP
Cifrado en reposo
Bases de datos cifradas con AES-256
Hashing de contraseñas
bcrypt con salt — nunca texto plano
Control de acceso (RBAC)
Roles granulares: super_admin, admin, member
Autenticación 2FA
Disponible para cuentas administradoras
Tokens de sesión
JWT cifrados con rotación periódica
Backups automáticos
Copias diarias cifradas con retención de 30 días
Monitoreo de anomalías
Alertas automáticas ante accesos sospechosos
Row Level Security
RLS en Supabase: cada usuario solo accede a sus datos
Auditoría de accesos
Logs de actividad para auditorías de seguridad
Puedes ejercer los siguientes derechos escribiendo a legal@magicfunnel.app con tu documento de identidad o comprobante de cuenta:
Acceso (A)
Plazo: 30 díasObtener confirmación de si tratamos tus datos y recibir una copia.
Rectificación (R)
Plazo: 30 díasCorregir datos inexactos o incompletos.
Cancelación / Supresión (C)
Plazo: 30 díasSolicitar la eliminación de tus datos cuando ya no sean necesarios.
Oposición (O)
Plazo: 30 díasOponerte al tratamiento para marketing o cuando se base en interés legítimo.
Portabilidad
Plazo: 30 díasRecibir tus datos en formato estructurado (JSON/CSV) para transferirlos.
Limitación
Plazo: 30 díasSolicitar la restricción del tratamiento en circunstancias específicas.
Reclamaciones: Si consideras que tus derechos no han sido atendidos, tienes derecho a presentar una reclamación ante la autoridad de control de tu país: AEPD (España), ANPD (Brasil), SIC (Colombia), INAI (México).
En caso de una violación de seguridad que afecte a datos personales, Magic Funnel seguirá el siguiente protocolo:
Detección y contención
Identificar el alcance de la brecha y tomar medidas inmediatas para contener el daño en un máximo de 24 horas.
Notificación a autoridades
Notificar a la autoridad de control competente en un plazo máximo de 72 horas desde el conocimiento de la violación (Art. 33 RGPD).
Notificación a afectados
Si la brecha supone un alto riesgo para los derechos de los titulares, notificarles sin dilación indebida (Art. 34 RGPD).
Investigación y mejora
Analizar las causas, corregir vulnerabilidades y reforzar medidas de seguridad para evitar que se repita.
Para ejercer tus derechos o plantear cualquier consulta sobre el tratamiento de tus datos personales:
Responderemos en un plazo máximo de 30 días hábiles. Para solicitudes complejas, podemos extender el plazo otros 30 días adicionales, notificándote previamente.